和大家一起来手动脱ASPack 2.12 -> Alexey Solodovnikov的壳

首先用PEID查壳是ASPack 2.12 -> Alexey Solodovnikov的壳，查OEP是004010CC（这个就是win98记事本的OEP）
用OD载入到：
0040D001 >  60              pushad                     停在这里
0040D002    E8 03000000     call NotePad_.0040D00A      F8一步到这里，这时ESP突变，ESP=0012FFA4
0040D007  - E9 EB045D45     jmp 459DD4F7
0040D00C    55              push ebp
0040D00D    C3              retn

在命令行下硬件断点 hr 0012ffa4    回车（或点一下ESP右键\数据窗口跟随，在数据窗口选上第一行后右键\断点\设置硬件访问断点\字（word）后shift+F9一次到：
0040D3B0   /75 08           jnz short NotePad_.0040D3BA          到这里，F8单步
0040D3B2   |B8 01000000     mov eax,1
0040D3B7   |C2 0C00         retn 0C
0040D3BA   \68 CC104000     push NotePad_.004010CC        第一行是跳到这里（看到OEP地址了004010CC）
0040D3BF    C3              retn                              返回到OEP，再F8就到：
004010CC    55              push ebp                       这里就是OEP，此时可脱壳了
004010CD    8BEC            mov ebp,esp
004010CF    83EC 44         sub esp,44
004010D2    56              push esi
004010D3    FF15 E0634000   call dword ptr ds:[4063E0]                  ; kernel32.GetCommandLineA

其实这款壳用peid是可以脱的
当然楼上用esp定律也是很简单的

给出图啊
先是peid的

再esp的

以后会注意附图了，这里主要是要练习用手动脱壳。

大家都来学习，这种帖子才不应该沉下去！！

大家都来学习，顶顶这种帖子

脱这个2.12,没有难度嘛~

看的有点懂了~~~~~·